Какие средства защиты информации от несанкционированных воздействий имеются в ос windows

Обновлено: 03.07.2024

Меры по защите информации от НСД можно разделить на группы:

  1. идентификация и аутентификация субъектов доступа и объектов доступа
  2. управление доступом субъектов доступа к объектам доступа
  3. ограничение программной среды
  4. защита машинных носителей информации
  5. регистрация событий безопасности
  6. антивирусная защита
  7. обнаружение (предотвращение) вторжений
  8. контроль (анализ) защищенности информации
  9. обеспечение целостности ИС и информации
  10. обеспечение доступности информации
  11. защита среды виртуализации
  12. защита технических средств
  13. защита ИС, ее средств, систем связи и передачи данных

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:

  • присвоение субъектам и объектам доступа уникального признака (идентификатора)
  • сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов
  • проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности или аутентификация).

Идентификация и аутентификация (подтверждение подлинности) являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.

Идентификатор присваивается пользователю, процессу, действующему от имени какого-либо пользователя, или программно-аппаратному компоненту (субъекту) и позволяет назвать себя, т. е. сообщить свое "имя". Аутентификация позволяет убедиться, что субъект именно тот, за кого себя выдает. Пример идентификации и аутентификации - вход в домен Windows . В данном случае логин - это идентификатор , пароль - средство аутентификации. Знание пароля является залогом того, что субъект действительно тот, за кого себя выдает.

Субъект может аутентифицироваться (подтвердить свою подлинность), предъявив одну из следующих сущностей:

  • нечто, что он знает (например, пароль);
  • нечто, чем он владеет (например, eToken);
  • нечто, что есть часть его самого (например, отпечаток пальца).

Меры по управлению доступом должны обеспечивать:

  • управление правами и привилегиями субъектов доступа;
  • разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИС ПРД;
  • контроль за соблюдением этих правил.

Меры по ограничению программной среды должны обеспечивать:

  • установку и (или) запуск только разрешенного к использованию в информационной системе ПО;
  • или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе ПО.

Защита машинных носителей информации должна исключать:

  • возможность НСД к машинным носителям и хранящейся на них информации;
  • несанкционированное использование машинных носителей.

Меры по регистрации событий безопасности должны обеспечивать

  • сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе;
  • возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по антивирусной защите должны обеспечивать:

  • обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации;
  • реагирование на обнаружение этих программ и информации.

Меры по обнаружению (предотвращению) вторжений должны обеспечивать:

  • обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации
  • реагирование на эти действия.

Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности информации, содержащейся в информационной системе, путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.

Меры по обеспечению целостности информационной системы и информации должны обеспечивать:

  • обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации;
  • возможность восстановления информационной системы и содержащейся в ней информации.

Меры по обеспечению доступности информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу, к информации, содержащейся в информационной системе, в штатном режиме функционирования информационной системы.

Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.

Стоит отметить, что набор мер в рассмотренных ранее руководящих документах Гостехкомиссии России, существенно уже. В частности, в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" выделены следующие группы мер:

  1. подсистема управления доступом
  2. подсистема регистрации и учета
  3. криптографическая подсистема
  4. подсистема обеспечения целостности.

Так как первое разбиение мер защиты на группы взято из Приказа ФСТЭК России №17, можно отследить тенденцию увеличения количества мер, необходимых для реализации информационной безопасности. Соответственно, расширились требования к функционалу, который должны реализовывать современные средства защиты информации для выполнения требований нормативных документов.

Средства защиты от НСД можно разделить на следующие группы:

  • Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.
  • Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.
  • Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности.
  • К организационным средствам (мероприятиям) можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС, ограничение доступа в помещения, назначение полномочий по доступу и т.п.
  • Криптографические средства - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.

Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать. Перечень мер определяется на основе требований нормативных документов (базовый набор мер) и исходя из модели угроз конкретной ИС.

После определения перечня мер, нужно выбрать средства защиты информации , которые эти меры реализуют. Необходимо учесть, требуется ли наличие сертификата у средства защиты информации . В приказе ФСТЭК России №21, например, нет однозначных требований по использованию сертифицированных СЗИ, - "применение СЗИ прошедших установленным порядком процедуру оценки соответствия". Это значит, что для защиты персональных данных в негосударственных ИС могут использоваться СЗИ, прошедшие сертификацию в добровольной системе сертификации или имеющие декларацию соответствия. А вот в ГИС все СЗИ должны быть сертифицированы. Соответственно, нужно выбирать СЗИ из Реестра сертифицированных СЗИ (Реестр), опубликованного на официальном сайте ФСТЭК:

При этом, несмотря на наличие в Реестре около 1000 сертифицированных СЗИ, большая часть из них была сертифицирована в единичном экземпляре или в составе маленькой партии, и недоступна для приобретения в настоящий момент. Поэтому реальный перечень сертифицированных СЗИ, которые можно использовать на практике, значительно меньше.

Сегодня сертификация СЗИ от НСД по линии ФСТЭК России проводится на соответствие одного или одновременно нескольких документов, основными из которых являются:

  • РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ);
  • Требования к средствам антивирусной защиты (24 профиля защиты);
  • Требования к средствам контроля съемных машинных носителей (10 профилей защиты);
  • Требования к межсетевым экранам (5 типов межсетевых экранов);
  • Требования к средствам доверенной загрузки (10 профилей защиты);
  • Требования к системам обнаружения вторжений (12 профилей защиты).
  • РД "Защита от НСД к информации. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ".

В документах СЗИ проранжированы по классам. В каждом документе введена своя шкала защищенности, где первый класс присваивается наиболее защищенным СЗИ, точнее тем, которые проходили испытания по самым жестким условиям, и соответственно, с увеличением порядкового номера класса требования к испытаниям СЗИ смягчаются.

То есть недостаточно выбрать сертифицированное СЗИ, необходимо также правильно определить требуемый класс защищенности. Например, в Приказе ФСТЭК России №21:

"для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

  • средства вычислительной техники не ниже 5 класса;
  • системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
  • межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена."

Определившись с формальными признаками СЗИ: доступность на рынке; актуальность сертификата; наличие контроля НДВ (при необходимости); класс защищенности, теперь можно сосредоточиться на его функциональных характеристиках. Чтобы установить соответствие требуемых мер защиты и средства защиты необходимо внимательно изучить документацию на СЗИ, функциональные характеристики, область применения и ограничения.

Следует отметить, что современные сертифицированные операционные системы обладают встроенными средствами защиты, которые позволяют закрывать многие требования регуляторов. В таблице 16.1 приведены требования к ИСПДн 3 уровня защищенности и средства операционной системы Windows 7, которые позволяют их удовлетворить.

Безусловно, построить защиту персональных данных только на встроенных средствах операционной системы не получится. Для реализации некоторых требований необходимо покупать узкоспециализированные средства защиты. Тем не менее, использование встроенных средств защиты операционных систем позволяет существенно сэкономить на покупке отдельных СЗИ, обеспечивает полную совместимость и требует меньших ресурсов для администрирования.

Безопасность и конфиденциальность зависят от операционной системы, которая охраняет систему и информацию с момента ее начала, обеспечивая фундаментальную защиту от чипа к облаку. Windows 11 является наиболее безопасным Windows с широкими мерами безопасности, предназначенными для обеспечения безопасности. Эти меры включают встроенное передовую шифрование и защиту данных, надежную сетевую и системную безопасность, а также интеллектуальные меры защиты от постоянно меняющихся угроз.

Просмотрите последнее видео безопасности Microsoft Mechanics Windows 11, которое демонстрирует некоторые из последних Windows 11 технологий безопасности.

Используйте ссылки в следующей таблице, чтобы узнать больше о возможностях и возможностях безопасности операционной системы в Windows 11.

Базовые показатели безопасности включены в набор средств, который можно скачать из Центра загрузки Майкрософт.

С момента загрузки Windows, антивирусная программа в Microsoft Defender отслеживает вредоносные программы, вирусы и угрозы безопасности. Обновления загружаются автоматически, чтобы защитить устройство от угроз. антивирусная программа в Microsoft Defender постоянно сканирует вредоносные программы и угрозы, а также обнаруживает и блокирует потенциально нежелательные приложения (приложения, которые могут негативно повлиять на ваше устройство, даже если они не считаются вредоносными).

антивирусная программа в Microsoft Defender интегрирована с облачнойзащитой, которая обеспечивает практически мгновенное обнаружение и блокировку новых и возникающих угроз.

С защитой от взлома вредоносные программы не могут принимать такие действия, как:
- Отключение вирусов и защиты от угроз
- Отключение защиты в режиме реального времени
- Отключение мониторинга поведения
- Отключение антивируса (например, IOfficeAntivirus (IOAV))
- Отключение облачной защиты
- Удаление обновлений разведки безопасности

В корпоративных средах защита сети лучше всего работает с Microsoft Defender для конечнойточки, которая предоставляет подробные отчеты о событиях защиты в рамках более крупных сценариев расследования.

Вы можете включить защиту эксплойтов на отдельном устройстве, а затем с помощью групповой политики распространять XML-файл на несколько устройств одновременно. При обнаружении меры защиты на устройстве появится уведомление из центра уведомлений. Вы можете настроить уведомления, указав сведения о компании и контактные данные. Вы также можете включить правила по отдельности для настройки методов мониторинга функций.

Defender for Endpoint также является частью Microsoft 365 Defender, единого пакета корпоративной защиты до и после нарушения, который в основном координирует обнаружение, предотвращение, расследование и реагирование в конечных точках, удостоверениях, электронной почте и приложениях для обеспечения комплексной защиты от сложных атак.

Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) осуществляется системой разграничения доступа субъектов и объектов доступа, а также обеспечивающими средствами для этой системы.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

Способы реализации системы разграничения доступа (СРД) зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

  • распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);
  • СРД в рамках операционной системы, СУБД или прикладных программ;
  • СРД в средствах реализации сетевых взаимодействий или на уровне приложений;
  • использование криптографических преобразований или методов непосредственного контроля доступа;
  • программная и (или) техническая реализация СРД.

В случае использования средств защиты от НСД в государственных информационных системах (ГИС) они должны быть сертифицированы минимум по 6 -ому классу. Средства вычислительной техники при этом должны быть сертифицированы не менее чем по 5 -ому классу.

Кроме того, в ГИС первого и второго классов защищенности средства защиты от НСД должны быть сертифицированы не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В информационных системах персональных данных (ИСПДн):

  • в ИСПДн 1 уровня защищенности - средства защиты от НСД не ниже 4 класса, а СВТ - не ниже 5 класса;
  • в ИСПДн 2 уровня защищенности - средства защиты от НСД не ниже 5 класса, а СВТ - не ниже 5 класса;
  • в ИСПДн 3 уровня защищенности - средства защиты от НСД не ниже 6 класса, а СВТ - не ниже 5 класса;
  • в ИСПДн 4 уровня защищенности - средства защиты от НСД не ниже 6 класса, а СВТ - не ниже 6 класса.

В ИСПДн первого и второго уровня защищенности должны использоваться средства защиты информации, также сертифицированные не ниже чем по 4 уровню контроля отсутствия недокументированных возможностей (НДВ).

Данные о сертификации средств защиты находится в Государственном реестре сертифицированных средств защиты информации, администрируемом ФСТЭК России. В частности, для продукции компании Microsoft имеем:


№ сертификата Дата внесения в реестр Срок действия сертификата Предназначение средства (область применения), краткая характеристика параметров / (оценка возможности использования в ИСПДн)
1929/1 14.05.2010 14.05.2019 Microsoft Windows Server 2008 Enterprise Edition (SP2)– по 5 классу СВТ (может использоваться в 1Г и может использоваться для защиты информации в ИСПДн до 3 класса включительно)
4006 29.08.2018 29.08.2023 MS Windows Server 2016 - по 5 классу защищенности для СВТ
4369 10.02.2021 10.02.2026 ОС Microsoft Windows 10 в редакции Корпоративная - требования доверия (6), Требования к ОС, Профиль защиты ОС (А шестого класса защиты. ИТ.ОС.А6.ПЗ)

Классы защищенности СВТ от НСД

ФСТЭК России устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Требования безопасности информации к операционным системам

Требования безопасности информации к операционным системам утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119 , вступили в силу с 1 июня 2017 г. Устанавливают 3 типа (А, Б, В) и 6 классов защиты ОС:

  • Тип А – ОС общего назначения,
  • Тип Б – встраиваемая ОС,
  • Тип В – ОС реального времени.

6 класс – самый низкий, 1 класс – самый высокий

Операционные системы 6 класса защиты применяются в ГИС 3 и 4 классов защищенности, в АСУТП 3 класса защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности персональных данных

Операционные системы 1, 2, 3 класса применяются в информационных системах, обрабатывающих государственную тайну.

Профили защиты операционных систем

Профили защиты операционных систем подробно рассмотрены в следующих методических документах ФСТЭК России:

  • Методические документы. Профили защиты операционных систем типов "Б" и "В“. Утверждены ФСТЭК России 11 мая 2017 г.
  • Методические документы. Профили защиты операционных систем типа "А“. Утверждены ФСТЭК России 8 февраля 2017 г.

Встроенные механизмы и средства защиты ОС Windows Server 2012

Операционная система Microsoft Windows Server 2012 имеет развитые встроенные механизмы и средства защиты, а именно:

  • разграничение прав и полномочий пользователей с помощью учётных записей и групп;
  • разграничение прав (разрешений) на доступ к объектам (на уровне объекта);
  • локальная политика безопасности и групповые политики;
  • защита реестра и ограничение прав доступа к нему;
  • использование шифрующей файловой системы EFS и шифрование диска BitLocker;
  • средства обеспечения безопасности сетевых подключений;
  • средства аудита.

Разграничение полномочий для групп и учетных записей пользователей

Компьютеры, на которых установлена поддерживаемая версия Windows, могут контролировать использование системных и сетевых ресурсов с помощью взаимосвязанных механизмов аутентификации и авторизации. После аутентификации пользователя операционная система Windows использует встроенные технологии авторизации и контроля доступа для реализации второго этапа защиты ресурсов: определения, имеет ли аутентифицированный пользователь правильные разрешения для доступа к ресурсу.

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, подпапки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается ссылкой на контейнер как на родителя. Объект в контейнере называется дочерним, а дочерний объект наследует настройки контроля доступа родительского элемента. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных дочерних объектов, чтобы упростить управление доступом.


Разрешения на доступ к ресурсам для групп и учетных записей пользователей

Общие ресурсы доступны пользователям и группам, отличным от владельца ресурса, и их необходимо защищать от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности ( SID ). Им назначаются права и разрешения, которые информируют операционную систему о том, что может делать каждый пользователь и группа. Каждый ресурс имеет владельца, который предоставляет разрешения участникам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие участники безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

К общим ресурсам относятся файлы, папки, принтеры, разделы реестра и объекты доменных служб Active Directory ( AD DS ). Общие ресурсы используют списки контроля доступа ( ACL ) для назначения разрешений. Это позволяет администраторам ресурсов осуществлять контроль доступа следующими способами:

  • запретить доступ неавторизованным пользователям и группам;
  • установите четко определенные ограничения на доступ, который предоставляется авторизованным пользователям и группам.


Права доступа определяют тип доступа, который предоставляется пользователю или группе для объекта или свойства объекта. Используя пользовательский интерфейс управления доступом, можно установить разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, поскольку это повышает производительность системы при проверке доступа к объекту.

Для любого объекта вы можете предоставить разрешения:

  • группы, пользователи и другие объекты с идентификаторами безопасности в домене;
  • группы и пользователи в этом домене и любые доверенные домены;
  • локальные группы и пользователи на компьютере, где находится объект.

Права доступа к объекту зависят от типа объекта. Например, разрешения, которые можно прикрепить к файлу, отличаются от разрешений, которые можно прикрепить к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов:

  • чтение;
  • изменение;
  • смена владельца;
  • удаление

Когда устанавливаются разрешения, указываются уровни доступа для групп и пользователей. Например, можно разрешить одному пользователю читать содержимое файла, разрешить другому пользователю вносить изменения в файл и запретить всем другим пользователям доступ к файлу. Можно установить аналогичные разрешения для принтеров, чтобы определенные пользователи могли настраивать принтер, а другие пользователи могли только печатать.

Локальная групповая политика (gpedit.msc)

Политики параметров безопасности - это правила, которые можно настроить на компьютере или нескольких компьютерах для защиты ресурсов на компьютере или в сети. Расширение Параметры безопасности оснастки Редактор локальной групповой политики (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и организационные единицы, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого компьютера, присоединенного к домену.

Настройки безопасности могут контролировать:

  • аутентификацию пользователя в сети или на компьютере;
  • ресурсы, к которым пользователям разрешен доступ;
  • записывать ли действия пользователя или группы в журнал событий;
  • членство в группе.


Для управления настройками безопасности для нескольких компьютеров можно использовать один из следующих вариантов:

  • отредактировать определенные параметры безопасности в объекте групповой политики.
  • использовать оснастку Шаблоны безопасности , чтобы создать шаблон безопасности, содержащий политики безопасности, которые вы хотите применить, а затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности - это файл, представляющий конфигурацию безопасности, который можно импортировать в объект групповой политики, применить к локальному компьютеру или использовать для анализа безопасности.

Локальная политика безопасности

Помимо использования групповых политик безопасности Active Directory следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками нужно использовать соответствующую оснастку Локальная политика безопасности , вызываемую командой secpol.msc ( Выполнить ( WIN+R )).


Например, при помощи локальной политики безопасности можно блокировать RDP-подключения для учетных записей с пустым паролем:

Computer Configuration - Настройки Windows - Настройки безопасности - Локальные политики безопасности - Параметры безопасности и включите (Enable) параметр Учетные записи: Разрешить использование пустых паролей только при консольном входе :


Защита реестра Windows

Реестр, а точнее разделы реестра, также относится к общим ресурсам Windows. Соответственно к ним также могут быть применены ограничения на доступ отдельных пользователей или групп:


Либо можно через редактор локальной групповой политики полностью запретить доступ к средствам редактирования реестра:

Нажать комбинацию клавиш Win+R , в окне редактирования следует ввести: gpedit.msc Откроется редактор локальной групповой политики. В нем в Конфигурация пользователя выбрать Административные шаблоны далее Система . Из списка найти пункт Запретить доступ к средствам редактирования реестра и кликнуть на нем дважды. Выбрать Включить и затем нажать ОК


Шифрующая файловая система EFS

Шифрованная система Encrypting File System (EFS) позволяет быстро зашифровать и поставить пароль на ваши файлы и папки в системе windows, используя собственную учетную запись пользователя. Поскольку файлы или папки были зашифрованы с использованием пароля учетной записи пользователя windows, другие пользователи на вашей системе, включая администратора, не может открыть, изменить или переместить папки, или файлы. Система EFS является полезной, если вы не хотите, чтобы другие пользователи смотрели ваши файлы и папки.

Encrypting File System и BitLocker это разные системы для шифрования. EFS считается менее безопасной, чем BitLocker. Любое лицо, знающее пароль учетной записи, под которой было произведено шифрование, может легко получить доступ к зашифрованной информации. Вы не сможете шифровать целые разделы диска, EFS работает только с файлами и папками, а BitLocker наоборот, только с дисками и съемными носителями.




Средства безопасности сетевых подключений

Операционная система Windows Server 2012 имеет развитые средства безопасности сетевых подключений:

  • брандмауэр Windows в режиме повышенной безопасности;
  • политика сети и удаленного доступа - служба маршрутизации и удалённого доступа;
  • преобразование сетевых адресов NAT;
  • криптографическая аутентификация, использование цифровых подписей и сертификатов безопасности;
  • использование виртуальных частных сетей (VPN);
  • шифрование передаваемых данных, возможность использования безопасного IP-протокола – Ipsec и протокола TLS.

Брандмауэр Windows позволяет создавать расширенные правила сетевых подключений для достаточно мощной защиты. Возможно создание правила доступа к Интернету для программ, белые списки, ограничивать трафик для определенных портов и IP адресов, не устанавливая сторонних программ-фаерволов для этого.

Подробнее средства безопасности сетевых подключений рассмотрены в материале Техническая защита информации в локальных и глобальных сетях»

К открытым версиям операционной системы Windows отно­сятся операционные системы Windows 95/98/ME/XP Home Edition. В этих операционных системах нельзя обеспечить высокую степень защиты от несанкционированного доступа к информации, по­скольку эта цель изначально не ставилась перед началом их про­ектирования. Тем не менее, в силу широкого распространения открытых версий операционных систем Windows не только в до­машних КС, но и в КС организаций необходимо уметь правильно использовать все, хотя и скромные, программно-аппаратные сред­ства защиты информации, которые имеются в этих операцион­ных системах.

Для предотвращения угрозы, связанной с несанкционирован­ной загрузкой операционной системы неавторизованным пользо­вателем, можно применить защиту на основе пароля, устанавли­ваемого программой BIOS Setup с помощью функции Set User Password (или аналогичной ей) при выбранном для параметра Security Option (или аналогичного ему) значении System в окне настроек функции Advanced BIOS Features или аналогичной ей (рис. 3.1). В этом случае перед загрузкой операционной системы или при попытке вызвать программу BIOS Setup пользователю будет пред­ложено ввести пароль. Максимальная длина пароля, устанавлива­емого программой BIOS Setup, равна восьми символам.

К достоинствам защиты информации от несанкционирован­ного доступа с помощью пароля программы BIOS Setup относят­ся простота установки и надежность защиты (число попыток вво­да пароля перед загрузкой операционной системы ограничено тремя, что делает практически невозможным подбор пароля).

Недостатки защиты информации на основе пароля программы BIOS Setup:

все пользователи, работающие на этой рабочей станции, получают общий пароль, что не позволяет разграничить их права в системе;

сложность замены пароля, если он забыт пользователем (в лучшем случае потребуется отключение энергонезависимой CMOS-памяти компьютера, а в худшем — замена его системной (мате­ринской) платы;


Рис.34. Установка пароля BIOS Setup.

• поскольку пароль, установленной программой BIOS Setup, сохраняется в CMOS-памяти компьютера в незащищенном виде, нарушитель может прочитать его с помощью специальной про­граммы после получения доступа к компьютеру после загрузки операционной системы;


Рис. 35. Установка пароля пользователя открытой версии Windows

• существование так называемых технических паролей програм­мы BIOS Setup, позволяющих осуществить загрузку операцион­ной системы неавторизованному пользователю, знающему подоб­ный пароль.

В открытых версиях операционной системы Windows могут быть установлены пароли на вход в систему (рис. 3.2) функции «Учетные записи пользователей» панели управления Windows. Одна­ко эти пароли фактически служат для разграничения личных про­филей пользователей, в которые входят выбранные для каждого из них настройки аппаратного и программного обеспечения КС, структура рабочего стола пользователя, структура его главного меню в системе, список последних использовавшихся им доку­ментов и другая информация о настройках и действиях пользова­теля.

При работе в сети ограничения на права отдельного пользователя или группы пользователей сети, а также всех пользователей конкретного компьютера целесообразно поместить в отдельный файл системных правил, который может быть помещен, напри­мер, в папку Netlogon на сервере, работающем под управлением одной из защищенных версий операционной системы Windows. В этом случае после входа пользователя КС в сеть с любого компь­ютера информация об установленных для него ограничениях из файла системных правил на сервере заместит соответствующие разделы реестра на использованном для входа в систему компью­тере. Администратор КС может создавать с помощью обычного текстового редактора файлы шаблонов ограничений для различ­ных категорий пользователей и их групп (adm-файлы), в которых и том числе могут быть отражены и дополнительные ограничения на использование функций не только системных, но и прикладных программ.

Нарушитель может попытаться прервать обычную процедуру загрузки операционной системы, чтобы загрузить ее в так назы­ваемом безопасном режиме или в режиме MS-DOS (при этом воз­можен обход установленных администратором ограничений). Что­бы исключить эту возможность, необходимо добавить в тексто­вый файл msdos.sys следующую секцию:

Тем самым у нарушителя не будет возможности прервать обыч­ную процедуру загрузки операционной системы, нажав опреде­ленную комбинацию клавиш на клавиатуре (Ctrl или F8 для вы­зова меню загрузки либо другую для загрузки в отличном от нор­мального режиме).

Для повышения безопасности при использовании открытых версий операционной системы Windows можно также использо­вать исключение из состава аппаратных средств компьютера на­копителей на гибких магнитных дисках и компакт-дисках с помо­щью средств программы BIOS Setup (функция Standard CMOS Features или аналогичная).

Доступ к изменению настроек, устанавливаемых программой BIOS Setup, должен быть разрешен только администратору КС. Для этого с помощью функции Set Supervisor Password этой про­граммы (или аналогичной) необходимо установить пароль адми­нистратора. Без ввода этого пароля будут невозможны вызов про­граммы BIOS Setup и изменение ее настроек.

Чтобы заблокировать терминал рабочей станции на период временного отсутствия пользователя, в открытых версиях опера­ционной системы Windows должны использоваться программы-заставки (рис. 3.7) с установленным паролем для возобновления работы после запуска программы-заставки.


Рис. 36. Установка программы-заставки

Поскольку программа-заставка автоматически запускается только по истечении за­данного интервала времени после прекращения работы пользователя с устройствами ввода, необходимо вынести ярлык к уста­новленной программе-заставке на рабочий стол пользователя (про­граммы-заставки имеют расширение «.scr» и размещаются обыч­но в папке System папки с файлами операционной системы Windows).

С помощью организационных мер требуется также обеспечить Применение пользователями этих средств для блокировки терминалов своих рабочих станций.

запрет (с помощью редактора системных правил) запуска непривилегированными пользователями любых программ, кроме необходимых им для выполнения своих служебных обязанностей;

запрет сохранения паролей привилегированных пользователей на рабочих станциях под управлением открытых версий Windows (с помощью редактора системных правил или организационных мер).

Имеются и другие недостатки рассмотренных средств защиты от несанкционированного доступа к информации в открытых вер­сиях операционной системы Windows:

влияние ограничений на запускаемые пользователями приложения и отображение дисков распространяются только на приложения компании Microsoft (например, с помощью оболочки Windows Commander пользователь сможет запускать любые установленные на его компьютере приложения), поэтому необходим тщательный и обоснованный выбор устанавливаемого программного обеспечения и накладываемых на его использование ограничений;

возможен обход установленных ограничений на запуск приложений путем переименования файлов с помощью проводника Windows (например, нарушитель может переименовать файл с программой для несанкционированного доступа к информации в winword.exe). Поэтому необходимо обеспечить скрытие дисков в папке «Мой компьютер» и в окне проводника Windows (для невозможности копирования на жесткий диск компьютера файлов с вредоносным кодом), что может оказаться неудобным и даже невозможным для легальных пользователей;

если нарушителю удастся получить доступ к компьютеру с загруженной операционной системой, то он сможет попытаться изменить настройки, установленные программой BIOS Setup, путем прямого редактирования содержимого CMOS-памяти с помощью специальных программных средств.

Отсутствие возможности разграничения доступа пользователей к ресурсам КС в рассматриваемых операционных системах являет­ся главной причиной отнесения их к классу открытых (слабо за­щищенных от несанкционированного доступа к информации) систем. Разграничение доступа к файлам и папкам с защищаемой информацией в такого рода системах возможно только с помо­щью их шифрования.

Читайте также: